برچسب: هک

رادیوگیک شماره ۵۷ – آرش آزاد

در شماره پنج و هفت رادیو گیک و در نبود آرش زاد عزیز، مهمون من، هیچکس و سرفه‌هامون هستین تا تکنولوژی و جامعه رو با هم یکی کنیم! با ما باشین چون این شماره بالاخره یک شماره کوتاهه.

مشترک رادیو گیک بشین


آر اس اس رادیو گیک
اپلیکیشن اندروید رادیو گیک
رادیو گیک در آیتونز
رادیو گیک در ساوند کلاود
اپلیکیشن iOS

اخبار

خرید دامین گوگل دات کام توسط یک آدم معمولی
باورش سخته ولی خب ظاهرا واقعی بوده. یک آدمی رفته تو پنل فروش آدرس های گوگل و اتفاقی سرچ کرده دنبال گوگل دات کام و دیده موجود است و با دادن ۱۲ دلار اونو برای یکسال خریده ((: خبر زرد حساب می شه ولی خب خیلی فانی است!‌ مساله احتمالا مربوط به یک باگ در سیستم فروش دامین گوگل بوده و خب بعد از چند دقیقه هم یک ایمیل دریافت کرده که سفارش شما لغو شد و پولتون برگشت داده می شه. مراحل به شکل اسکرین شات برای شکاکان گذاشته شده.

موقع خرید خونه مواظب اینترنت باشین!


دوستمون کول مارشال تصمیم می گیره یک خونه بی و سر ته در یک جای مهمل بخره تا ارزون در بیاد و چون شغلی وب دولوپر است، قبلش با مخابرات محلی هماهنگ می کنه که آیا می تونه اونجا اینترنت داشته باشه یا نه که جواب می گیره شرکت چارتر امکان دادن اینترنت ۲۴مگ رو در اون مکان داره. خونه رو می خره و می‌سازه و می ره سراغ اینترنت که شرکت چارتر بهش می گه «بله می تونیم بهتون اینترنت ۲۴ مگ بدیم ولی اول باید ۱۱۷هزار دلار هزینه گسترش شبکه به اون محل رو پرداخت کنین!» ((: فعلا آقای مارشال عزیز مجبور شده به یک خط ۳ مگ راضی بشه ولی هی داره در شبکه های اجتماعی سر و صدا راه می ندازه! ما همون سه مگ رو هم بگیریم خیلی خوشحالیم ((: وسط بیابون هم نیستیم.

اسکن کتاب‌ها توسط گوگل جرم نیست

گوگل از سال ۲۰۰۴ که پروژه کتابخونه دیجیتالش رو شروع کرد، بیشتر از ۲۰ میلیون کتاب رو اسکن و به این کتابخانه اضافه کرده. شرکت مدعی است اینکار به نفع مردمه چون می تونن تو کتابها سرچ کنن و مطالب مورد نظر رو پیدا کنن و در عین حال احترام به کپی رایت است چون اجازه نمی ده کل کتاب توسط بازدیدکنندگان خونده بشه. این مساله با یک شکایت کپی رایتی مواجه و متوقف شده بود که خوشبختانه بازم قاضی های فهیم آمریکایی که توی موضوعاتی که رای می دن تخصص دارن به نتیجه خوبی رسیدن. ترکیب سه قاضی نیویورکی روز جمعه اعلام کردن که اسکن کردن کتاب ها و امکان جستجو دادن به مردم یک استفاده منصفانه و عام المنفعه از کتاب است و به همین دلیل ناقض کپی رایت نیست. اونها اضافه کردن که این کار باعث نمی شه کل اثر (هون کتاب) به عموم نشون داده بشه. خانم جینا سیگلیانو سخنگوی گوگل گفته که یکی از پرکاربردترین مصارف کتابخونه دیجیتال گوگل اینه که مردم باهاش کتاب هایی که می خوان بخرن و بخونن رو پیدا می کنن و حتی این سرویس به نفع دارندگان کپی رایت هم هست.

آمازون و کشوندن ۱۱۱۴ اسپمر کامنت به دادگاه

آمازون در این هفته ۱۱۱۴ نفری که توی کامنت هاش اسپم‌های تبلیغاتی به نفع یک برند خاص می ذاشتن رو به دادگاه کشیده؛ در یک سوی دست جمعی. این آدم ها روی سایت فایور با پنج دلار برای هر کسی هر ریویویی که می خواست رو زیر هر چیزی می ذاشتن. آمازون می گه این کار باعث می شد اعتماد مردم به کامنت ها و برند آمازون از بین بره. گفته می شه کامنت های آمازون که از روز اول هم به همین شکل در سایت حضور داشتن سالانه حدود ۲.۷ میلیارد دلار برای این شرکت به ارمغان می یارن. جذابیت ماجرا اینه که آمازون اینقدر شعور داشته که علیه کامنت گذارهای تقلبی شکایت کنه نه علیه فایور که این امکان رو براشون فراهم کرده. ابزارها مجرم نیستن!

در اعماق

هک کیبوردهای بی‌سیم مایکروسافت

r3

معمولا در بخش «در اعماق» از خارج می‌گیم ولی اینبار کار خوب مهدی عسگری رو داریم:‌شنود کیبوردهای بی‌سیم مایکروسافت با یک Arduino

پیش‌بینی صحیح فروش آیفون توسط فوراسکوئر

فوراسکوئر تمام چک این های ما رو داره. حالا فوراسکوئر تعداد همه ورودهای اپ استور در روز لانچ اپل استور رو بررسی کرده و گفته که تعداد فروش ها باید منطقا چیزی بین ۱۳ تا ۱۵ میلیون باشه. آمار رسمی اعلام شده در روزهای بعد ۱۳ میلیون بوده. بامزه است که فوراسکوئر می گه با اینکه هیجان انگیزه ولی سورپریز کننده نیست چون معلومه که اونها این چیزها رو می دونن. حدس فوراسکوئر بر اساس ۳.۶ برابر شدن ترافیک مغازه‌های اپل بوده و همزمان مدعی است که صف ها نسبتا کوتاه بوده اند.

برادر پوتین و تلاش برای شکستن رمز تور

کرملین در سال گذشته قراردادی با یک شرکت بسته تا اون شرکت با دریافت ۵۹هزار دلار، در مورد امکان رخنه به شبکه تور تحقیق کنه. برنده این مناقصه شرکت راستک بوده که در قراردادهای دیگه برای روسیه هلی‌کوپتر و اسلحه می‌سازه. بخش جالب اینه که امسال شرکت راستک پذیرفته به یک سازمان وکالتی ۱۵۰هزار دلار (دو برابر مبلغ اصلی قرارداد) پول بده تا وکلای اون شرکت بتونن در مقابل دولت از راستک دفاع کنن و پروژه تور رو کنسل کنن! ظاهرا تور خیلی امن بوده (: تور می گه در روسیه حدود ۱۷۵هزار کاربر داره.

رباتی که با هوش مصنوعی حرف زدن یاد گرفته، گفته علاقمنده انسان ها رو تو باغ وحش بندازه

android_dick

ربات ها در حال گسترش هستن و ما ربات های بیشتر و بیشتری خواهیم دید. یکی از جدیدترین نمونه‌ها به افتخار نویسنده رمان‌های علمی تخیلی فیلیپ کی. دک، دک نامیده شده و اتفاقا ظاهرش هم شدیدا شبیه اونه! هنر دک اینه که می تونه با هوش مصنوعی ای که داره از گفتگوها یاد بگیره و گفتگوهای هوشمندانه ای رو با انسان‌ها حفظ کنه (توضیح در مورد تست تورینگ). در نمایشی از هوش این ماشین که با خبرنگارهای شبکه PBS انجام می شد، این ربات حتی می تونست به چهره طرف گفتگو هم نگاه کنه و ازش سرنخ‌های برای گفتگو بگیره. سوال همیشگی این بود که «آیا تو فکر می کنی یا طبق یک برنامه عمل می کنی» و جواب دک این بود که «خیلی از آدم ها از من می پرسن که آیا حق انتخاب دارم یا فقط از روی یک برنامه کار می کنم. جواب خوبی که می تونم بدم اینه که عملا همه چیز، حتی حیوانات و انسان هم دارن از روی یک برنامه کار می کنن». این ربات در ضمن اینترنت رو هم سرچ می کنه و این توانایی رو داره که از اینترنت و حتی مکالمه ای که در جریانه، لغت های جدید یاد بگیره. نقطه اوج مکالمه وقتی بود که خبرنگاری پرسید «آیا فکر می کنی ربات ها یک زمانی جهان رو فتح می کنن؟» و جواب شنید که «خب رفیق… سوال های خوبی می پرسی. اما تو دوست منی و من همیشه یادم می مونه کی با من دوست بوده. نگران نباش. من قرار نیست تبدیل به ترمیناتور بشم. همیشه باهاتون مهربون خواهم بود. شما گرم و راحت توی باغ وحش من زندگی خواهید کرد و من به یاد قدیم‌ها می یام شما رو نگاه می کنم».

تقلب فولکس واگن

چیزهایی هستن که در دید آدم های غیر مرتبط خیلی ساده تفسیر می شن ولی حرفه ای ها کلا ماجرا رو چیزی دیگه می بینن. مثلا محکوم شدن دو شاعر فعال در سال ۸۸ به بیست سال زندان و شلاق یا تقلب فولکس واگن توی آزمایش های کیفیت موتور. بعضی ها می گن اشتباه نرم افزاری بوده یا یک تقلب ساده و احتمالا جریمه هایی هم خواهد بود ولی ما داریم به دنیایی در آینده نگاه می کنیم که «متقلب های هوشمند» اطرافمون رو احاطه خواهند کرد. اینترنت چیزها در واقع داره خودش رو به ما نشون می ده. صندوق های رای، بررسی کننده های مصرف انرژی،‌بررسی کننده های کیفیت مواد مصرفی و غیره و غیره در آینده به ما دروغ خواهند گفت. تنها راه بازمتن کردن کل برنامه های مرتبط با این چیزها است. متخصصین امنیت می گن که سال ها است سازمان های امنیتی چنین کارهایی می کنن. ریگان در مورد برنامه موشکی شوروی گفته بود «اعتماد کنین ولی چک هم بکنین» و احتمالا این باید استراتژی دنیای آینده در مورد بررسی کننده های دیجیتال باشه. ما نیاز به شفافیت داریم و دیدن درون چیزها. وقتی همه چیز داره به سمت نرم افزار می ره این تیپ تقلب ها آسونتر می شن و سخت تر برای اثبات و تکرار می کنم که تنها راه کنترل و شفافیت عمومی در مورد برنامه هایی است که قراره زندگی ما رو کنترل کنن.. مثلا صندوق های رای دیجیتال.

تبریک و تقبیح

تبریک و تشکر از صابر راستی کردار برای انتشار فونت آزاد میرزا [کمی توضیح]. تبریکب به مایکروسافت که تصمیم گرفته لینوکس خودش رو بسازه تا بتونه در آژر سرویسی مطمئن بده و تقبیحی برای چرخونندگان کشور چون اخیرا تحقیقی نشون داده که آلودگی نه فقط ازطریق ریه که به شکل مستقیم از طریق پوست هم جذب بدن می شه.

کت کافی نیست، سیستم ادمین‌ها مواظب اسکریپت‌های بدجنس باشن

دوست خوب هکرم میلاد زنگنه نکته جالبی رو بهم یادآوری کرده:

امروز یه چیز جالب دیدم که نشون میده که برنامه هایی مثل cat و … خروجی کاملی از اون چیزی که واقعا درون فایل هست بهمون نشون نمیدن. برای مثال:

escape sequences

دلیل این اتفاق اینه که cat واقعا همه کاراکترها رو به همون شکلی که هستن توی خروجی استاندارد برامون چاپ نمیکنه و وقتی به \033[2A ( یا بطور کلی تر \033[XA )میرسه یکار خاص میکنه. این عبارت باعث میشه وقتی برنامه به این قسمت رسید به تعداد X خط (توی این مثال X دو هست) کرسر رو بالا ببره و باعث بشه X خط بالایی بازنویسی شه و در نتیجه باعث بشه ما گول بخوریم!
چنین چیزی ممکنه خیلی برای افراد عادی با اهمیت جلوه نکنه اما برای ادمین ها و لینوکسی ها که دائم با اسکرپت ها سرو کار دارن مهمه چون با همچین حقه ای ممکنه بدون اینکه بفهمن اسکریپت های مخربی رو اجرا کنن.

حرفش کاملا درسته و اکثرا هم می‌دونیم که Escape Characterها می‌تونن خروجی ترمینال رو تغییر بدن (مثلا رنگی کنن، پاک کنن، جابجا کنن، …) ولی اکثرا توجه نمی‌کنیم که یک اسکریپت در cat ممکنه چیز دیگه ای از اون چیزی که واقعا هست نشون داده بشه. در کل همیشه می‌گیم که بدون فهمیدن هیچ چیزی نباید روی کامپیوترتون اجراش کنین و الان ظاهرا باید بگیم که بعضی اسکریپت ها حتی ممکنه اون چیزی که در لحظات اول به نظر می‌رسن هم نباشن! یک مدیر سیستم مثل گرگ با چشم باز می‌خوابه!

پی.نوشت. ایریکس اشاره کرد که می‌شه از سوییچ A در دستور cat استفاده کرد تا همه کاراکترها اونطوری که واقعا هستن دیده بشن (زندگی از این سوییچ‌ها نداره؟ البته اگر داشت خیلی لوس می شد فضا)

پادکست شماره یک آی تی ویس: گپ با جادی

دوستان خوبم در آی تی ویس شماره اول پادکستشون رو منتشر کردن و خوش شانس بودم که افتخار دادن و با من گپ زدن (: امیدوارم قسمت اولش رو گوش بدین و مشتری بشین. در این پادکست در مورد چیزهای خیلی متنوع گپ می زنیم و فضای نزدیک به شماره چگونه هکر شویم است که توش با بچه‌های آیپالس گپ زده بودم.

رادیو گیک شماره ۵۵ – جادی جاج کن که جاجت…

در این شماره جاج می کنیم. به آدم های بد می گیم بد و به کسانی که اشتباه می کنن می گیم اشتباه می کنن! عقیده سانسور اینجا محترم نیست! می بینیم که آیا باید از هوش مصنوعی ترسید و آیا ربات های تلگرام می تونن گربه های خونگی ما رو به قتل برسونن؟ با رادیو گیک شماره ۵۵ نفس ها رو حبس کنین که تکنولوژی خیلی عمیق تر از شایعه فلان اینچ بودن گوشی بهمانه!

مشترک رادیو گیک بشین


آر اس اس رادیو گیک
اپلیکیشن اندروید رادیو گیک
رادیو گیک در آیتونز
رادیو گیک در ساوند کلاود
اپلیکیشن iOS

اخبار

اوباما می گه «اینترنت یک چیز لوکس نیست بلکه یک نیاز است»

obama

ما با نداشتن اینترنت درست و حسابی درگیریم. سانسور و سرعت و بقیه چیزها… ولی آیا فکر کردیم در همین ایران چند نفر هستن که اصولا به اینترنت دسترسی ندارن که هیچ، حتی نمیدونن اینترنت چیه؟ وزیر مخابرات مدعی است که بیشتر از نصف مردم به اینترنت دسترسی دارن ولی اوباما اظهار نگرانی کرده که یک چهارم آمریکایی ها به اینترنت دسترسی ندارن! دلیلش چیه؟ دلیلش اینه که به چیزی که ما اینجا داریم، اونها اینترنت نمی گم (حالا بیا واسه من تبلیغ «اینترنت فوق پر سرعت» پخش کن!). آمار نشون می ده که دسترسی به اینترنت باعث می شه شانس افراد برای موفقیت در جامعه بیشتر باشه و اوباما به این جریان توجه ویزه نشون داده و بخصوص تاکیدش روی اینکه اینترنت در جامعه فعلی یک نیاز پایه ای است نه یک چیز لوکس تفریحی مهمه. [توضیحات خودم]

هند ایده سانسور اینترنت رو متوقف کرد

ban

دولت هند یک اعلام کرد که حدود هشتصد سایت پورنوگرافی رو فیلتر می کنه. هندی ها اونقدر اعتراض کردن که دولت حق نداره مسوول سانسور باشه و در نهایت موفق شدن و دولت عقب نشست. توی هند دادگاه عالی قبلا اعلام کرده بود که سانسور وظیفه اون نیست و اگر دولت می خواد باید خودش این کار رو انجام بده. هند قبلا هم تلاش کرده بود اول به سایت های شبکه اجتماعی فشار بیاره تا مواردی که دوست نداره رو حذف کنن که موفق نشده بود و بعد چند باری چند اکانت توییتر رو حذف کرده بود. در مورد این خبر یکی از سکسولوژیست های مطرح هند گفته که بستن سایت های پورن راه حل نیست و به جای اینکار دولت باید به دنبال آموزش جنسی صحیح به افراد باشه.

ویندوز ده و آپدیت از چندین منبع

win10

یا آسمان های بالای سر. ویندوز ۱۰ یک ابتکار زده که هم جالبه هم ترسناک. ایده اش اینه که همه دنیا نیا یکهو آپدیت هاشون رو از سرورهای مایکروسافت بگیرن. هم اون خسته می شه هم مایی که بیست تا ویندوز توی یک شبکه داریم لازم نیست بیست بار آپدیت رو دانلود کنیم. البته در این مورد که آپدیت دقیقا چطور خواهد بود خود مایکروسافت چیزی نگفته ولی یکسری اسکرین شات که گفته می شه لو رفته نشون می ده که گزینه «دانلود اپ و او اس از منابع مختلف» اضافه شده [توضیحات خودم در خوبی و بدی و امضا و خطر باقی]

و خب آپدیت اوبونتو هم تغییرات عظیمی خواهد داشت

[کمی توضیح در مورد اوبونتو و آپدیت و دب]. مشکل اونجا اینه که ۱) برنامه های نصب شده تا حدی با خود اوبونتو قاطی می شن و ۲) ممکنه مشکلات متنوع پیش بیاد ۰ مثلا مشکل بعد از آپدیت یا تداخل و … در مکانیزم جدید قراره snappy جایگزین dpkg بشه. چند تغییر بزرگ هم داریم. برنامه ها دیگه در کل سیستم نصب نمی شن بلکه پایه اوبونتو همونجا و جدا می مونه و برنامه ها در جای دیگه مستقل نصب می شن و کرنل با AppArmor اینو می فهمه. هر دوی این اجزا غیرقابل ادیت / نوشت هستن و کانفینگ های نیازمند تغییر جای دیگه ذخیره می شن. هر بسته اسنپی می تونه حاوی کتابخونه های مورد نیازش هم باشه اما اگر دو بسته کتابخونه های مشترک بخوان، سیستم اینو می فهمه و با مکانیزم deduplication جلوی ایجاد فایلهای تکراری رو می گیره. همچنین قبل از هر آپدیت سیستم بک آپ خواهد گرفت و در صورت هر مشکل سیستم قبلی بر خواهد گشت. در نهایت اینکه از دلتا آپدیت هم کاملا پشتیبانی می شه. اسنپی الان هم روی دیوایس های هوشمند و بخشی از سرورهای کلاود پیاده سازی شده و احتمالا واقعا عملا ظاهر خواهد شد!

روت کیت اینتل.. اونهم از ۱۹۹۷

intel

کنفرانس بلک هت امسال داستان های زیادی داره که یکی از بزگرترین‌هاشون مقاله کریستوفر دوما است: اینتل‌ها و احتمالا AMDها از ۱۹۹۷ تا همین اواخر راه نفوذی داشتن که به حمله کننده اجازه می دادن تا پایین‌ترین لایه‌های فرم‌ور یک پی سی رو در دست بگیره. مشکل در System Management Mode نشون داده شده که بخیش از PC است که ارورها رو هندل کرده، دسترسی به زیرسیستم‌های دیگه – مثلا پاور – رو فراهم می کنه. از تخصص من هم خارجه و فقط ترجمه رو می گم. این حمله نیازمند دسترسی کامل است ولی در نهایت می تونه به حمله کننده اجازه پاک کردن یا حتی تغییر و گذاشتن روت کیت در EFI رو بده که احتمالا اکثر اسکنر ها نخواهند تونست هیچ چیزی رو نشون بدن. باید منتظر بک هت باشیم تا دقیق ببینیم ماجرا چی بوده.

مردهایی که در بازی ها علیه زنان خشونت می کنن، معمولا در بازی ضعیف‌تر هستن

men

یکسری از محققین می گن کشف کردن که چرا بعضی مردها زنان رو در اینترنت آزار می دن: چون خودشون ضایعن… تو بازی! تحقیق بانمکی است از مایکل کاسمویک و جف کوزنکف که خودشون رو زن و مرد جا زدن در بازی و صداها رو ضبط کردن و بازی ها رو دنبال و در نهایت نتیجه شون این بوده که کسانی که در بازی ضعیف تر هستن، رفتار زشت تر یا توهین آمیزتری رو هم با زن ها دارن [کمی توضیح در مورد روش علمی و روایی و اعتبار]. نظریاتی هم براش دارن مثل اینکه این مساله از ابتدا هم در جوامع انسانی رواج داشته و کسی که در سطح بالاتری بوده نیازی نمی دیده «قدرت» خودش رو این شکلی به دیگران نشون بده و در نتیجه اشراف سعی می کردن مودب باشن در حالی که کسانی که دسترسی یا ثروت پایین تری داشتن لات تر هم می شدن – لات به معنی بد! بازی مورد تحقیق هلو ۳ بوده. [کمی توضیح در مورد اینکه خشونت عامل تجاوز است نه شهوت].

بازمتن شدن سیستم صحبت استفان هاوکینگ

در یک خبر جالب هم داریم که نرم افزاری که اینتل برای استفن هاوکینگ ساخته بود که بتونه باهاش صحبت کنه،‌حالا تحت لیسانس آزاد منتشر شده. این سیستم اجازه می ده کاربران با مشکلات فیزیکی بتونن با کامپیوتر رابطه برقرار کنن. حالا که این برنامه آزاد شده یعنی شما اگر یک کمی تلاش کنین می تونین سیستمی بسازین که صحبت می کنه، به برنامه ها دستور می فرسته و ویلچر احتمالی تون رو کنترل می کنه.. البته مشکلاتی هم هست. این سیستم نیاز به ویندوز ایکس پی یا بالاتر داره و خبری از لینوکس و مک نیست. این برنامه با دیدن چهره تقریبا همه دستورات رو می گیره – د رواقع با دیدن تغییرات عضلات گونه پس با یک وبکم ممکنه کار شما راه بیافته اما اگر دنبال چیز دیگه ای هستین فیچرهای دیگه هم هست که باید اضافه بشن. این فقط یک خبر فان نیست و واقعا ممکنه در زندگی بعضی آدم ها تغییر مثبتی باشه.

در اعماق

لینوس نگران هوش مصنوعی نیست

torvalds

لینوس توروالدز می گه که ترس الون ماسک مدیرعامل تسلا رو نمی فهمه و البته وقتی بگیم وزنیاک و استفان هاوکینگز به الون ماسک نزدیکتر هستن، وزنه اونها خیلی سنگین تر می شه. بحث سر هوش مصنوعی است که الون ماسک گفته سراغش رفتن چیزی شبیه به «احضار ارواح» است. توروالدز که توی یک پرسش و پاسخ اسلش داتی گپ می زده می گه «ما مطمئنا به هوش مصنوعی خواهیم رسید و احتمالا از طریق چیزی مثل شبکه های عصبی. این سیستم ها نیازمند یادگیری هستند و مثل کامپیوترهای سنتی قابل «اعتماد» نخواهند بود.. ما دیگه برنامه مبتنی بر قاعده ثابت نخواهیم داشت و آدم ها دیگه نمی تونن مطمئن باشن که یک برنامه هوش مصنوعی چیکار می کنه و این ماجرا رو خیلی پر هیجان می کنه. البته ماجرا پیچیده هم می شه چون ما دیگه نمیدونیم سیستم ها دقیقا چیکار می کنن. چیزهایی مثل تشخیص زبان، تشخیص الگو و اینها مطرح خواهند بود. من اصولا این مساله که که چطور اگر یک روز ماشین ظرفشویی من در مورد سارتر شروع به گپ زدن کند دچار بحران اگزیستانسیالیسمی خواهم شد را نمی فهمم». توروالدز برای اینکه کسی را بدون حمله نگذاشته باشه بحث رو با این تموم می کنه که «این جریان سینگولاریتی دیگه چیه؟ یک جور علمی تخیلی؟ آخه علمی تخیلی خوبی هم نیست – به نظر من! رشد توانی بدون انتها؟ واقعا این آدم ها چی مصرف می کنن؟ جدی میگم.. چی مصرف می کنن؟»

زن های مهندس با هشتگ #ILookLikeAnEngineer به جنگ استریوتایپ‌ها می رن

ilooklikeanengineer

[ توضیحات خودم (: ]

باز هم حمله Stagefright2

stage

گاردین گزارش می ده از یک مشکل امنیتی دیگه در اندروید گوگل! ظاهرا مشکل stagefright که گوگل حلش کرده بود دوباره ظهور کرده و تعداد عظیمی از گوشی ها رو نفوذ پذیر کرده. مشکل از شیوه ای است که ویدئوها در اندروید هندل می شن و می شه با استفاده از یک باگ توشون کد اجرا کرد. این باگ از اندروید ۲.۳ بوده و تا اندروید ۵.۱.۱. ادامه داشته [بحث آپدیت نکردن بعضی وندورها]. حالا دوباره باگی مشابهی توسط شرکت امنیتی ترند میکرو نشون داده شده و البته مثل قبل صبر کردن تا گوگل کاملا سیستم عاملش رو پچ کنه و بعد اعلام عمومی اش کنن. گفته می شه این باگ جدید اجازه می داده حمله کننده با همون دسترسی ای که پخش کننده مدیا کار می کنه، هر کدی که می خواد رو اجرا کنه و دقت کنین که دسترسی پخش کننده مدیا کم نیست: دوربین، پخش،ضبط و … گوگل هنوز نظری نداده!

هک اشلی مدیسون رو هم داشتیم

ashly

یک هک پر سر و صدا که البته صداش خیلی به اینجاها نرسید. چون زیاد دربرگیرندگی نداشت و سایت های گجت و موبایل و اینها هم که نگرانن نکنه در مورد ممنوعه ها حرف بزنن. اشلی مدیسون سایت عجیبی است. یک سایت دوستیابی برای «خیانت»! این سایت به شما می گفت اگر از زندگی خانوادگی خسته هستین، می تونین بیاین و اینجا یک دوست برای رابطه سکسی پیدا کنین! هکرها مدعی شدن که دیتابیس رو دارن و خواستن سایت تعطیل بشه وگرنه… اطلاعات رو منتشر می کنن و الان منتشر کردن! ۳۳ میلیون اکانت، حدود ۱۰ گیگ دیتای فشرده شده، اسم کوچیک، فامیل، پسورد هش شده،‌ بخشی از اطلاعات کردیت کارت و اسم خیابون و تلفن و …. اووف… [‌توضیحات خودم: استفاده در لاگین های دیگه، امنیت آدم ها و مثلا ۱۵هزار ایمیل از سازمان های دولتی آمریکا، گرایش ها و کسی که دنبالش می گردن.

کامپیوترها دارن شما رو جاج می کنن!

up

این جاج کردن لغت جدیده.. یعنی بوده ولی اینطرفها تازه مد شده.. یکی می گه حق نداریم هیچ کس رو جاج کنیم.. خب یعنی چی؟ من یارو رو جاج نکنم بعد یارو.. ؟ بگذریم. حالا کامپیوترها دارن ما رو جاج می کنن. بحث اصلی کمپانی upstart است! یک استارتاپ که به کسانی که تازه وارد بازار کار شدن وام می ده! [توضیح آمریکا و بانک هاش]. این اعتماد به بازپرداخت از چیزهای ساده ای می یاد: چیزی که ما بهش معدل دیپلم و غیره.. چیزی که آقای گو که از موسسین آپ استارتی است که ۱۳۵ میلیون دلار وام داده بهش می گه «کاراکتر» آد مها.. آقای وو که می گم ۲۴ سالشه. آقای وو می گه کامپیوترها باید شخصیت رو بسنجه… «خواستن» رو در حالی که الان الگوریتم های ما «تونستن» رو می سنجن. [کمی توضیحات خودم که کلیت ماجرا مفصله ولی بحث تغییری است که داره اتفاق می افته و زندگی ما که می ره زیر نظر یکسری الگوریتم که حتی دیگه خیلی هامون ازش سر هم در نمی یاریم]

تبریک و تقبیح

تبریک داریم به ناسا که این چند وقت حسابی ترکونده.. تو مدت این رادیو هم کشف اولین سیاره مشابه زمین و همچنین اولین عکس از سمت تاریک ماه در حالی که زمین در پس زمینه اش است. یک عکس عالی. و تعجبی هم می کنیم از بار بمباس که با حل کردن الکل در فضای بار می گه اگر یکساعت توی بار نفس بکشین برابر اینه که یک شات مشروب خورده باشین!

تبریک هم به بچه های کنفرانس پی اچ پی که به نظرم یکی از بهترین کنفرانس های این چند وقت بود و تقبیح برای همراه اول که سرویس هایی داره که هر کس میتونه روشون کوئری بگیره از حساب هر کس دیگه.

تقبیحی هم برای مایکروسافت و جریان ویندوز ۱۰ و مشکلات گسترده پرایوسی توش… و فراموش نکنیم که ما باید رییس و کنترل کننده کامپیوتر خودمون باشیم نه کامپیوتر ما کنترل کننده و رییس ما! و تا بحث تقبیح داغه، یکی هم برای سانسورچی که «اشتباهی زد سایت پی اچ پی رو هم سانسور کرد» ولی بعدش فهمید در این مورد «اشتباه» کرده و اصلاحش کرد ولی تقبیحش مال اینه که هنوز مغزش نکشیده بفهمه هر جور سانسور اشتباهه و نشون دهنده ضعف فکری سانسور کننده و هنوز خیلی از جاهای خوب سانسورن (: خبیثه دیگه.

نامه ها

منصور:
در مورد ویزای H1B که صحبت کردی یه جاهاییش درست نبود. اگه درست متوجه شده باشم گفتی که این ویزا را به افراد میدن که بیان و کار پیدا کنن و اگه پیدا کردن بمونن و اقامت بگبرن. اما اینطور نیست. این ویزا به شرکتها اجازه میده افراد را از بیرون از آمریکا برای کار به داخل کشور بیارن. یعنی تا شما کار نداشته باشی و شرکتی نباشه که sponser بشه نمیتونی ویزا را بگیری. نکته مهمش اینه که برای حفظ موقعیت کاری افرادی که توی آمریکا هستن اولاْ تعداد ویزاهای هر سال محدوده. و ثانیاْ شرکتی که برای شما درخواست H1B میکنه باید ثابت کنه توی آمریکا کسی که بتونه اون شغل را با اون شرایط انجام بده وجود نداره. و خوب همین نشون میده که چرا کار والت دیسنی اینقدر عحیب و اعتراض برانگیز بوده.
و البته منصور در مورد باگ Stagefright هم یادآوری کرده و اینکه جاش تو رادیو خالی بوده. یکی از مهمترین باگ های امنیتی در دنیای اندروید که اخیرا کشف و پچ شده ولی مثل همیشه کاربران باید منتظر باشن که تولید کننده های گوشی، این پچ ها رو روی سیستم عامل های دستکاری شده شون توزیع کنن.

بخش آخر

با صادق اکانت توییترش گپی تلفنی داریم در مورد امنیت روبات های تلگرام و این بحث که آیا اگر ربات در یک گروه باشه می تونه پیام های ما رو بخونه، آیا ربات ها می تونن اطلاعات خصوصی ما رو ببینن و غیره. صادق نویسنده ربات هایی مثل ربات مترجم فارسی به انگلیسی، ربات نمایش اطلاعات و قیمت روز گوشی ها، ربات خوره های فیلم است که اطلاعات همه رو می تونین اینجا ببینین.

موسیقی

مهرداد احمدپاکزاد رو بهم معرفی کرده… بشنوین و جاج کنین! به نظر من که خیلی عجیبه. سبکش چیه؟

جادی تی وی ۰۰۶ – کرکرها چطور قفل برنامه‌ها رو میشکنن

در این شماره از جادی تی وی، یک برنامه سی می‌نویسیم که با گرفتن یک پسورد و مقایسه کردنش با پسورد واقعی، به ما اجازه عبور بده و بعد فایل اجرایی اون رو با تکنیک های مختلف از دامپ کردن هگز تا استفاده از دیباگر و اسمبلر می شکنیم و مکانیزم پسوردش رو از کار می ندازیم تا ببینیم یک کرکر چطوری اینکارها رو می کنه.

با ما باشین چون نگاه کردن به داخل فایل های اجرایی، هیجان انگیزه!

عضویت شما در کانال یوتیوب جادی تی وی و تبلیغش بهترین روحیه بخش من برای ادامه ویدئوها است

ایده و روش این ویدئوکست از این مطلب اومده.

رادیو گیک شماره ۵۱ – کشتی دزدهای دریایی در اعماق دریا

در شماره پنجاه و یک رادیو گیک که برای سیزده ساله‌ها به بالاست، اول میکروفون رو می دیم آقای اسنودن در مورد پسوردها برامون حرف بزنن و بعد از توپ چینی تا هک کردن کامپیوترهایی که به هیچ جا وصل نیستن رو بررسی می کنیم و در نهایت به حواشی خبری می پردازیم در مورد یکی از کثیف ترین صنایع اینترنت: پورن انتقامی. با ما باشین چون بخش هایی از جهان باید لرزانده بشه – اونم به دست گیک ها!

  • دانلود نسخه ام پی تری
  • دانلود نسخه او جی جی
  • و اگر کسی راحتتره، می تونه ایمیلی که باهاش توی دراپ باکس عضو است رو برام به jadijadi روی جیمیل بفرسته و بگه می خواد عضو فولدر شر دراپ باکس رادیوگیک بشه و اونطوری آخرین شماره ها رو بگیره!

مشترک رادیو گیک بشین


آر اس اس رادیو گیک
اپلیکیشن اندروید رادیو گیک
رادیو گیک در آیتونز
رادیو گیک در ساوند کلاود
اپلیکیشن iOS

اخبار

فیزیک و ریاضی و همه موضوعات مستقل دیگه از مدارس فنلاند حذف می شن

Finland_school1

فنلاند مشهوره به سیستم آموزشی پیشرو ولی این یکی دیگه واقعا انقلابی است. فنلاند می گه تا ۲۰۲۰ می خواد فیزیک و شیمی و ریاضی و هر subject مستقل دیگه ای رو از سیستم آموزشی اش حذف کنه و به جاش topicهای مرتبط به پدیده‌های بزرگتر رو درست بده که دیگه برای کسی سوال پییش نیاد که «چرا داریم اینو می خونیم؟» یا «این به چه دردی می خوره؟».

مثال خوب اینه که مثلا به جای اینکه در هفته فلان یکساعت جغرافی درس بدن و یک ساعت تاریخ، در هفته فلان دو ساعت در مورد «اتحادیه اروپا»‌ توضیح داده می شه که توش تاریخ و زبان و اقتصاد و جغرافی و غیره گنجونده شده یا مثلا ممکنه یک ساعت دیگه «درس رستوران» بدن که توش اقتصاد و روابط اجتماعی و غیره گفته می شه. این سیستم آموزشی قراره همه مسائل علمی سابق رو درس بده ولی در شکلی متفاوت از چیزی که مناسب ده‌های اول ۱۹۰۰ بود و در عین حال آدم هایی مناسب تر برای جامعه امروز و به گفته مدیر آموزشی فنلاند، فردا تحویل بده.

در حال حاضر هم سیستم آموزشی فنلاند یکی از بهترین ها در دنیا است و دانش آموزهاش توی مهارت‌های خوندن، ریاضیات و علوم معمولا جزو اولین ها در جهان هستن.

سقوط یک تیم حرفه ای بسکتبال آلمان به خاطر مشکل ویندوز!

basket

البته شاید «سقوط» نباشه چون من اصطلاحات لیگ بسکتبال آلمان رو بلد نیستم ولی یک تیم دسته دومی که میزبان یک تیم دیگه بوده به خاطر تاخیر پونزده دقیقه ای در شروع بازی دچار یک جریمه سنگین شده! دلیل تاخیر ظاهرا آپدیت شدن ویندوزی بوده که تابلوی ورزشگاه تیم دسته دومی رو کنترل نمایش می داده و درست قبل از بازی به این نتیجه رسیده که وقت خوبی است برای آپدیت کردن خودش و رفته پایین و گفته منو خاموش نکنین تا ریبوت بشم و بعدش رو دیگه اکثرا دیدیم (: یادتون باشه اگر تیم بسکتبال اداره می کنین تابلو رو ویندوزی نگیرین و اگر ویندوزی است به اینترنت وصلش نکنین و اگر به اینترنت وصله حواستون باشه آپدیت نشه!

دستگاه‌های پنجاه دلاری علیه دوست و برادر کره شمالی

china-great-cannon

korea

کره شمالی از نظر ما کشور خیلی مهمی است چون توی یکسری چیزها مثل اعدام و سانسور اینترنت و مبارزه با آزادی بیان باعث شده ما کشور اول در جهان نباشیم (: حالا آرس تنیکا مقاله جالبی داره که توضیح می ده چطوری یک دستگاه ۵۰ دلاری در حال مبارزه با این حکومت مستبد است. این ابزار چیه؟ دی وی دی پلیر صفحه نمایش سر خود! از اینها که بازش می کنین بالاش یک صفحه نمایش کوچیک است و پایینش یک جای دی وی دی و هر چی توش بذارین رو پخش می کنه. معلومه که چنین وسیله خطرناکی در کره شمالی ممنوعه چون ممکنه مردم باهاش فیلم‌های نامناسب ببینن یا حتی متوجه بشن که کره شمالی قهرمان جهان نیست (: نکته جالبتر اینه که کشور چین برای سود نمونه‌هایی از این دستگاه رو می سازه که بسیار ارزونه و تنها هدف کیفیت فوق العاده پایینش بازار بسیار فقیر ولی علاقمند کره شمالی است. یک قاچاقچی می گه در ۲۰۱۴ حدود ۱۸هزار تا از این دستگاه ها رو به بازار سیاه کره رسونده و ایده اش اینه که این دستگاه ها در جهان منسوخ شدن و عملا فقط برای کره در حال تولیدن. همچنین یادمون باشه که مدتی قبل خبری در رادیو یا جادی.نت داشتیم در این مورد که گروه های حقوق بشری سی دی های فیلم اینترویو که تمسخری از دیکتاتوری کره شمالی است رو با بالن به این کشور می فرستادن تا شهروندان سی دی ها رو به شکل اتفاقی پیدا کنن! [توضیحات خودم در مورد در پیت بودن فیلم، سرمایه داری،‌دیکتاتوری، دوگانه نبودن جهان و ..]

دو پلیس از مسوولین پرونده راه ابریشم، ظاهرا ازش دزدی کردن

fbi

[توضیح دموکراسی و اصل چه کسی به ناظران نظارت می کنه].پرونده راه ابریشم هم از اون چیزهایی است که زیاد پوشش دادیم [توضیحات] و حالا چون حداقل در آمریکا هنوز بخش هایی هستن که مواظب بقیه بخش ها باشن، دولت از پلیس هایی که مسوول پیگیری پرونده راه ابریشم و دستگیری مدیرش بودن شکایت کرده چون مشکوکن به اینکه حین بررسی مساله، از راه ابریشم پول دزدیدن. این دو مامور که اکانت های جعلی ساخته بودن تا فعالیت های سایت رو زیر نظر داشته باشن. ظاهرا یکیشون با تهدید مدیرش به افشای اطلاعاتی که چون پلیس بودن به دست آورده بودن، ازش اخاذی کردن. از اونطرف یک پلیس دیگه که بعد از حمله به سایت و توقیف اموالش به اطلاعات دسترسی داشته در اون زمان پولی معادل ۳۵۰هزار دلار برای خودش برداشته. [ توضیح پیچیدگی پول رمزی]

ده سالگی گیت

linus

و این هفته گیت هم ده ساله شده. عجیبه که این معجزه رو هم توروالدز نوشته تا ثابت کنه برنامه نویسی بدون رقیب است و البته درک بسیار خوبی از پروسه تولید نرم افزار داره. توروالدز گیت رو وقتی نوشت که سیستم قبلی توی کنترل سورس پروژه کرنل به مشکل خورده بوده بود. یک روز نشست و در کمتر از یکی دو روز بخش بزرگی از گیت رو نوشت. جالبه که بعد از اون مدت کوتاه، بقیه نوشتن گیت در خود گیت انجام شده و کامیت ها همه هستن. بیشتر برنامه در طول روز بوده ولی تک و توک هم نصفه شب و دو صبح کامیت داره. توروالدز الان از گیت حسابی راضی است و ایده اش اینه که وقتی سیستم مدیریت سورس بعدی هم بیاد،‌بازم تا حد زیادی مشابه گیت خواهد بود. همینه که لازمه شما و ما و هر کسی که در دنیای نرم افزار یا اصولا در تولید هر چیزی است که متن توش دخیله، با گیت آشنا باشه. بخصوص نویسنده ها (: حالا من آموزش هام رو درست می کنم (:

اینم اضافه کنم که توروالدز با گیت هاب یک مشکلاتی داره. خودش می گه نداره ولی در سخنرانی های متنوع به این اشاره می کنه که گیت هاب خوبه و اینها «ولی» اینترفیس وب باعث می شه آدم ها رفتارهای بد نشون بدن و مثلا کامیت مسیج های نامناسب بذارن و از اونطرف فانکشنالیتی گیت هاب خیلی کمتر از گیت است و در نتیجه برای توسعه چیزی مثل کرنل اصولا مناسب نیست.

در اعماق

پیتر سونده می گه «حرکت دزدهای دریایی» مرده است

sunde

کم کم می تونیم بگیم شماره ای نداریم که توش در مورد دزدهای دریایی و احزاب پایرت پارتی و موفقیت هاشون حرفی نزنیم اما حالا سونده که از افراد بسیار مهم این جنبش است (سخنگوی سابق پایرت بی) توی یک مقاله در این مورد حرف می زنه که آیا این جنبش مرده؟ حرف اصلی اون این نیست که دیگه لازم نیست از آزادی های دیجیتال و غیره دفاع کنیم بلکه می گه که احزاب دزد دریایی که حالا هی دارن رای می یارن، باید به این فکر کنن که در موارد دیگه نظرشون چیه؟ یک حزب نمی تونه فقط به خاطر یک ایده رشد کنه بلکه باید دیدی گسترده تر داشته باشه، مثلا دید پایرت پارتی ها در مورد مهاجران چیه؟ از اونطرف حرف سونده اینه که اسم پایرت پارتی یک جور شوخی است و دهن کجی به نظام های موجود در حالی که حالا که کار جدی شده باید دیگه دزد دریایی نبود و رفت سراغ یک اسم خوب و باحالتر حتی از دزد دریایی که دیدگاه ها رو نشون بده. اشاره می کنه که حتی جانی دپ دفاع خوبی از دزدهای دریایی نیست چه برسه به ما (: اون می گه که پایرت پارتی مال سال ۲۰۰۵ است و الان ده سال ازش گذشته و اگر می گیم یک جنبش بوده الان باید تغییر کرده باشه! گپ در مورد ایران.

هک اتصال کامپیوترهای AirGapped

توضیح ایرگپد. یکسری متخصص از چیزی که بهش کشور اسراییل میگن چیز عجیبی نشون دادن: دو تا کامپیوتر ایرگپد به همدیگه وصل می شن و داده مبادله می کنن. مطمئنا اینطوری نیست که شما پشت کامند لاین یکی دیگه نشسته باشین ولی با کنترل سی پی یو،‌ فن کیس و فن سی پی یو می تونن حرارت رو تنظیم کنن و کامپیوتر دیگه این حرارت رو ببینه و تفسیر صفر و یک ازش بکنه و دستور بگیره. [توضیحات بیشتر] ولی در واقع دارن می گن که امکان برقراری ارتباط حتی با کامپیوتری که تصور می شد هیچ روش ارتباطی باهاش وجود نداره!

توپ بزرگ چین در کنار دیوار بزرگ چین

دیوار بزرگ چین رو همه می شناسیم: برگترین سیستم سانسور اینترنت در جهان که خب مثل همه چیزهای دیگه چینی، بخشی از پول نفت ما صرف وارد کردنش می شه. حالا یک گزارش جدید از سیتیزن لب چیزی رو معرفی می کنه به اسم توپ عظیم یا Great cannon که کارش حمله به یکسری آی پی به منظور دزدیدن ترافیک است. این سیستم می تونه ترافیک به سمت یک جای خاص (حالا شما بگین گوگل) رو زیر نظر بگیره و اطلاعات مورد نظرش رو ازشون بیرون بکشه. گزارش می گه این حمله اینقدر عظیم بوده که غیر ممکنه کسی به جز دولت چین پشتش بوده باشه. سیتیزن لب می گه این حرکت یک تغییر بزرگ در مکانیزم زیر نظر گرفتن شهروندان است که حتی از سانسور کلاسیک هم پیشتر رفته و می خواد کل مکالمات با یک جای خاص رو شنود کنه… هرچند که بعید نیست بتونه بر اساس منبع هم کار کنه یعنی کل ارتباطات یک نفر خاص رو شنود کنه.

تبریک و تقبیح

  • تسلیت می گیم به هر کسی که ساعت ۱۷ هزار دلاری اپل رو بخره (: وبعدش هم ۹۹۹ دلارسالانه بده برای ساپورت!
  • تبریک به رادیو گیک برای..
  • تقبیح برای زاکربرگ مشهور به مستر زالزاراک برای بستن فرفر

نامه ها

سلام جادی خسته نباشی‌.من یه مشکلی واسم پیش اومده.میخوام ببینم کشی میتونه با نصب یه برنامه صفحه نمایش گوشی منو از طریق اینترنت ببینه.یعنی بدون این که من بدونم.منظورم برنامه هایی که مثل دزدگیرن.و موقع گم شدن پیام ها و مخاطبین رو میفرستن.این برنامه ها میتونن یه جا قایم بشن و همه چی رو بفرستن برای یه شخص خاص.ممنون به خاطر وبلاگ خوبتض

بخش آخر

اینجا یک خبر رو آوردم که بیشتر در موردش حرف بزنیم: خبر محکوم شدن به هجده سال زندان یک گرداننده سایت Revenge Porn

این سایت توی کالیفرنیا بود و فقط درست شده بود برای ریونج پورن [توضیح در این مورد]. مدیر این سایت به خاطر گرداندن این سایت به هجده سال زندان محکوم شده.

کوین کریستوفر ۲۷ ساله سایتی ساخته بود که توش آدم ها می تونستن عکس پارتنرهای قبلی شون رو بدون اجازه اونها آپلود کنن و کنارش مشخصات فردی اونها رو هم بنویسن. عکس هایی که مسایل جنسی بخصوص زن ها رو نشون می دادن معمولا توسط پارتنرهای سابق آدم ها آپلود می شد تا از اونها انتقام گرفته بشه و در موارد خیلی زیادی لینک فیسبوک هم همراهش بود. در صورتی که شما قربانی این جریان بودین و می خواستین عکستون از سایت حذف بشه، باید بین ۲۵۰ تا ۳۵۰ دلار پول می دادین و درآمد صاحب سایت در مدتی که سایت کار می کرد حدود ۳۰هزار دلار تخمین زده شده.

پدر این پسر در بیانیه ای مطبوعاتی از مردم و قربانی ها معذرت خواهی کرده و گفته حرکت پسرش شرم‌آور، احمقانه و نامناسب بوده و قلب پدر با قربانی ها است». در یکسال تقریبا ۱۰۱۷۰ عکس در این سایت آپلود شد.

در مورد این خبر در چند وجهه می تونیم حرف بزنیم.

  • یکی توی توییتر از من پرسیده بود که آیا این جرم است؟ مگه طرف فقط ابزار نساخته؟

  • قوانین ایران از قربانی حمایت می کنن

  • هر چیزی که در اینترنت آپلود کنین یا به هر شکلی توسط اینترنت منتقل کنین احتمالا توسط کسی دیده می شه

  • ویدئوهای پورن ایرانی در سایت های ایرانی چند دسته هستن و توی خیلی ها نارضایتی از فیلمبرداری هست و در خیلی ها احتمالا عدم آگاهی طرف از آپلود ویدئو

  • پورن از این نظر خطرناک است که بدون شک ما در زمانی یک PornScandal خواهیم داشت و خیلی ها توش شناخته خواهند شد و در نهایت اینکه از سلیقه تون خجالت نکشین ولی کار غیرقانونی نکنین چون زندگی، هویت، شخصیت و آرامش آدم ها بسیار ارزشمند است.

موسیقی

Coldpay – miracles for Ali and his special friend

بانک ملت نه هک شده و نه برای حساب مشتریان مشکلی درست کرده! ماجرا یک باگ است

از دیروز چندین ایمیل دریافت کردم که آدم ها در مورد «هک» بانک ملت سوال می کردند یا اسکریپت های «هک» می فرستادن و سایت‌های مختلفی هم از این کلمه در اخبار مرتبط با باگ امنیتی بانک ملت استفاده کردن. لازمه این توضیح رو بدم که اتفاقی که افتاده اصولا هک نیست. هک در تعریف کلی‌ یک حرکت هوشمندانه است به منظور استفاده از چیزی به جز منظوری که دقیقا برای اون طراحی شده یا استفاده از راهی فرعی که بقیه ندیدنش برای رسیدن به مقصدی که قرار بوده با امکاناتی که داریم بهش نرسیم. حتی در تعریف هالیوودی هم هک یعنی «نفوذ» به یک سیستم. در مورد باگ بانک ملت، نه نفوذی صورت گرفته و نه هیچ شکلی از دسترسی به حساب‌های مردم.

در مورد پیش اومده، به خاطر اشتباه یک برنامه نویس و عدم تشخیص این اشتباه از طرف یک زنجیره طولانی آدم که قرار بوده بتونن جلوش رو بگیرن، هر کسی روی اینترنت می تونسته به شکل اتفاقی تراکنش ها به یکسری از حساب ها رو ببینه. این تراکنش ها شامل اسم فرستنده و گیرنده و حساب و مبلغ و زمان بوده. این مساله هک نیست بلکه یک باگ خیلی ابتدایی و آماتور در یک برنامه مهم است. بر خلاف مواردی مثل هک فیسنما و غیره، اینجا تنها فاکتور جالب اینه که از بانک انتظار چنین باگی نمی ره و این است که خبر رو مهم می کنه.

از اونطرف می شه کاملا مدعی بود که اطلاعات خصوصی من باید نزد بانکم یا بانکی که به اجبار باید بهش پول بریزم محفوظ باشه ولی الان یک برنامه خیلی ابتدایی می تونه کل تراکنش های مردم که در اون صفحه قابل نمایش بوده رو ذخیره کنه و بریزه توی یک دیتابیس و مثلا شما بتونین بگردین که آیا جادی در این فهرست هست یا نه یا فلان سازمان کلا چقدر از طریق فلان حسابش پول دریافت کرده. اینها بسیار ضایع است اما هک نیست و ربطی هم به امنیت حساب افراد نداره.

اینها رو می نویسم چون احساس می کنم بخشی از وبلاگستان فقط برای هیجان دادن به یک خبر، شروع کرده به هیجان دادن به یک خبر (: این سوتی بسیار ضایع است چون در ابعاد یک بانک اتفاق افتاده و ناقض پرایوسی افرادی است که در این سامانه اطلاعاتشون به شکل باز در اختیار همگان قرار گرفته ولی اصولا یک هک یا عدم امنیت حساب‌ها و کارت ها و چیزهای مشابه نیست. حواسمون باشه که فقط به خاطر ایجاد هیجان و جلب ویزیتور، مفهوم هک و پرایوسی و باگ و چیزهای مشابه رو در اذهان عمومی با همدیگه قاطی جا نندازیم.

در سوتی جدید بانک مقصر کیه؟‌ نگاهی به نقش‌های مرتبط

خلاصه ماجرا: چند ساعت است در وب فارسی، توییتر و فیسبوک مطلبی می چرخه در مورد اینکه آدم ها می تونن بدون لاگین کردن در بانک ملت و فقط با رفتن به آدرس یک صفحه و عوض کردن عدد پاس شده در آدرس بار به شکل SaleOrderId=1333683 به واریزی های افراد مختلف به حساب بعضی سازمان ها دستریس داشته باشن. مطلب زیر نگاهی است به راه حل های فنی حل این مساله.

variz

بانک ها قراره یکی از جاهایی باشن که بالاترین سطح امنیت رو دارن اما سوتی های مداومی که از بانک ها می بینیم، این مساله رو کاملا زیر سوال برده. سوتی جدید متعلق به بانک ملت است و اجازه می ده هر کسی که به اینترنت دسترسی داره بدون کوچکترین قدم فنی یا سطحی ترین دانش مرتبط با امنیت، بتونه تراکنش های افراد دیگه رو ببینه!

این از کجا می یاد؟ از دو جا: آگاهی بسیار کم بانک ها در مورد امنیت و آگاهی بسیار کم برنامه نویس هایی که این چیزها رو نوشتن. نکته ای که جالبه کم تقصیرترین فرد در این وسط، نویسنده کد است و مقصرترین آدم کسی که پروژه رو به این آدم داده. این کسی که نوشتن چنین کد حساسی رو به چنین برنامه نویس ناآگاهی از مبانی امنیتی داده اما سوال سختیه. منطقا یک زنجیره بزرگ باید منجر به این سوتی های عظیم بشن.

مشاور پروژه

در قدم اول باید مشاور پروژه می تونست در دقیقه دوم تست این برنامه، بگه که این برنامه این مشکل عظیم رو داره. شاید واقعا این پروژه مشاور نداشته و اگر مشاوری داشته که اینجا رو دیده ولی از روش رد شده، منطقا فقط یک آدمی است که شغلش حقوق گرفتن برای پر کردن عنوان «مشاور» است. این آدم اگر پروژه رو دیده و اوکی کرده، نباید مشاور باشه.

مشاور فنی بانک

تقریبا مثل بالایی ولی حادتر. اگر بانک مشاور مرتبطی داره که این کد و نتیجه اش رو دیده و تشخیص نداده که اینجاش این مشکل حاد رو داره، باید همینجا اخراج بشه و بانک باید یک مشاور دیگه بگیره. متاسفم که در مورد یک همکار مجبورم این رو بگم ولی واقعا نقش مشاور فنی اینه که چیزهایی بسیار عمیقتر رو تشخیص بده. تشخیص چنین باگی در حدی مقدماتی است که حتی گروهی از مشتری های بانک هم باید بتونن تشخیصش بدن. اگر بانک اصولا مشاور فنی نداره، بهتره زودتر یکی بگیره.

مدیر پروژه

در مورد مدیرپروژه همیشه به سختی می شه نظر داد. آدمی است که از بالاتر بهش می گن باید محصول فلان رو در تاریخ فلان تحویل بدی و منابعش هم مشخصه. اگر الان شغل من تحویل یک سکوی نفتی در تاریخ ۲۹ اسفند ۱۳۹۶ باشه و یک تیم هم داشته باشم که کار رو درست بلد نباشن، ممکنه هر سوتی ای از من در بیاد (: در سطحی بالاتر می شه گفت که باید استعفا بدم ولی خب چند نفر داریم که بتونن راحت از شغلشون استعفا بدن. به نظر من مدیر پروژه اگر دفاع خوبی داشته باشه، تقصیر چندانی نداره.

تیم/شرکتی که کار رو قبول کرده

اینجا هم سخته. اگر با یک شرکت بیرونی طرف هستیم، خب اون شرکت باز شده که سود کنه. منطقا باید بانک کارش رو به یک شرکت غیرحرفه ای نده و شرکت ها نباید کار رو بگیرن ولی کیه که از پول بدش بیاد؟ به نظرم خود شرکت ها اگر از مفاد قرارداد عدول نکرده باشن چندان مقصر نیستن. الان یکی بیاد به من بگه یک میلیارد بهت می دیم برامون یک اسکچ از یوزراینترفیس یک سایت فروش کفش ورنی بزن، معلومه که قبول می کنم (: آبروم رو می برم ولی به پولش می ارزه و اگر طرف راضی است، منم راضی هستم.

اگر هم کار با کارمندها و تیم‌های داخلی بوده که خب حرجی نیست. یکی رو استخدام کردین و گفتین فلان کار رو بکن. احتمالا از دید خودش تلاش کافی هم کرده و تنها حالتی که می شه ازش ناراضی بود اینه که براش دوره آموزشی و فرصت یادگیری فراهم کرده باشیم ولی بازم پیچونده باشه؛ معمولا هم اینطوری نیست.

گروهی که کار رو به این گروه دادن

این‌ها – در کنار مشاورها و بررسی کننده های کیفی – احتمالا بزرگترین مقصر هستن. نتیجه کار کاملا نشون می ده که نویسنده برنامه ها دید باز نسبت به جهان نداشته و گروه برنامه نویسی‌ای بوده که تجربی و بدون بررسی نمونه‌های پذیرفته شده جهانی کار کرده و اصولا فکر نمی کرده در دنیای واقعی چه چیزهایی در انتظارش است. کسانی که چنین کاری رو به این گروه دادن احتمالا بیشترین تقصیر رو دارن. حتی اگر مدعی بشن که نمی دونستن این شرکت خوب نیست، باید پرسید که چرا از مشاور استفاده نکردن. اشتباه همیشه پیش می یاد ولی مهمه این گروه روشی رو پیش بگیرن که جلوی تکرار این مساله گرفته بشه.

سیستم نرم افزاری کشور

ما چیزی داریم به اسم شورای انفورماتیک و فکر کنم حتی به شرکت ها رتبه می ده و اینکارها. این در دنیای امروز تا حد زیادی ناکارا است. کاملا می شه تصور کرد که این برنامه رو یکی از شرکت های با رتبه بالا و مشهور نوشته باشن. امروزه تعداد مهندس و تعداد کارمند نشون نمی دن که یک برنامه خوب تولید خواهد شد.

حالا چیکار کنیم؟

اگر کاره ای در بانک ملت هستین، سریعا این بخش از سیستم رو بیارین پایین و بنویسین به خاطر تعمیرات تعطیله. بعد یک تسک فورس سریع با یک اتاق جنگ درست کنین (اتاقی که آدم ها می رن توش و تا وقتی مشکل حل نشده بیرون نمی یان و می تونن هر کسی که لازمه رو هم به اتاق اضافه کنن) و با دو تا مشاور خوب که بهشون حقوق خوبی می دین برنامه رو بررسی کنید. وقتی برنامه ای چنین مشکلات حادی داره اصلا بعید نیست مشکلات دیگه ای هم داشته باشه که عمیق تر از تغییر یک یو آر ال باشن و تاثیراتی بسیار بزرگتر از افشای اطلاعات شخصی آدم ها بذارن. همزمان با اتاق جنگ لازمه که یک پروژه مستقل تعریف بشه برای بررسی مستقل کد و انجام انواع تست های نفوذ. بانک شما همیشه در این مدت نماد بانکی بوده که سعی کرده تبلیغاتی بالاتر از سواد بصری جامعه داشته باشه و حالا لازمه سراغ سطح امنیتی ای بالاتر از متوسط جامعه هم برین. بعد هم باید بررسی کنین که در چه پروسه ای این برنامه به این گروه برنامه نویسی رسیده و اصلاحش کنین. ریلکس باشین و برای آینده برنامه بریزین (:

اگر هم برنامه نویس مستقل هستین، هر برنامه ای که اطرافتون می بینین رو با دقت نگاه کنین. یو آر الش چطوریه؟ آیا تعداد ریکوئست در دقیقه بهش کنترل شده است؟ در مورد استانداردهای توسعه نرم افزار بخونین و فریم ورک های موجود رو بررسی کنین. حواستون باشه که برنامه نویسی چیزی بسیار بسیار گسترده تر از نوشتن کد است. در واقع کد نویسی (Coder) سطح ورودی دنیای برنامه نویسی است و اگر می خواین توی این دنیا پیش برین، چیزی بسیار مفصلتر از دستور زبان مورد نیازه. سعی می کنم یک ویدئوکست با یک متخصص در این زمینه درست کنم. برم بهش زنگ بزنم!

به نظرتون از چه نقش هایی دیگه می تونیم حرف بزنیم؟ ناظر کیفی؟ کنترل کیفیت؟ تست امنیت؟